Facebook更改漏洞奖励政策:报告平台第三方应用程序获胜

时间: 2018-09-19 22:15:43 作者: 管理员

新浪科技讯北京时间9月18日早间消息,Facebook平台上的第三方应用程序可以访问用户数据,但这些应用程序最近发现了很多漏洞。随着越来越多的批评,Facebook最近宣布它将把它的bug赏金计划扩展到第三方应用程序。

http://blog.zxhost.cn
Facebook现在将向报告用户访问令牌漏洞的开发人员提供奖励。所谓的用户访问令牌是一种允许用户通过登录Facebook直接注册/登录第三方应用程序的功能。如果访问令牌落入黑客的手中,他们可以在未经同意的情况下获取用户数据。
在报告中,研究人员需要提交概念证明,以说明漏洞如何允许黑客访问或滥用用户数据。 Facebook将为该报告提供至少500美元的奖励,并且只关注具有至少50,000活跃用户的应用中的漏洞。
安全工程师Dan Gurfinkel在一篇宣布这一变化的博客文章中表示,Facebook将只考虑这些报告:“当使用易受攻击的应用程序和网站时,将它们发送到您的设备或通过被动查看被动地发现。当您的设备发送数据时发现漏洞。”因此,研究人员无法创建开放重定向,例如,绕过身份验证要求。
“如果暴露,基于用于设置的权限,访问令牌很可能被滥用,”Geffenco写道。 “我们希望为研究人员提供一个明确的渠道来报道这些重要问题,我们希望进入我们。最大的努力是保护人们的信息,即使问题的根源不在我们的直接控制之下。“
通常,第三方应用程序漏洞不属于大型技术公司的赏金漏洞报告范围。但Facebook仍在努力应对用户反对,因为该公司多年来一直允许第三方应用程序访问大量用户数据,并且基本上没有监督,其中一些甚至允许其他人访问数据,违反了Facebook的开发者政策。最值得注意的例子是Cambridge Analytica数据泄露事件。
最近几个月,Bumble和Coffee Meet Bagel等应用程序还为用户提供了除Facebook身份验证之外的其他登录选项 - 响应他们所说的对于使用Facebook登录的用户越来越不可靠。因此,Facebook必须监督第三方应用程序以重新获得用户信任。
Facebook最近还推出了一个经过修改的应用审核流程,旨在清理访问超出自己的用户数据的第三方应用。